内容简介:Alpine Linux 发行版向来以轻巧和安全而被大家熟知,但最近思科安全研究人员却发现 Alpine Linux 的 Docker 镜像存在一个已有三年之久的安全漏洞,该漏洞的编号为但后来为了简化回归测试,Alpine Linux Docker 镜像的 GitHub 仓库合并了一个
Alpine Linux 发行版向来以轻巧和安全而被大家熟知,但最近思科安全研究人员却发现 Alpine Linux 的 Docker 镜像存在一个已有三年之久的安全漏洞, 通过该漏洞可使用空密码登录 root 帐户 。
该漏洞的编号为 CVE-2019-5021 ,严重程度评分为 9.8 分,最早在 Alpine Linux Docker 镜像 3.2 版本中被发现,并于2015年11月进行了修复,还添加了回归测试以防止将来再发生。
但后来为了简化回归测试,Alpine Linux Docker 镜像的 GitHub 仓库合并了一个 新的 commit ,而正是这个 commit 导致了错误的回归,并在 3.3 之后的版本中(包括 Alpine Docker Edge)都保留了这个漏洞。
- v3.5(EOL)
- v3.4(EOL)
- v3.3(EOL)
目前该漏洞已被修复。
官方对这个漏洞的描述为 :如果在 Docker 容器中安装了 shadow 软件包并以非 root 用户身份运行服务,那么具有 shell 访问权限的用户可在容器内对账号进行提权。
▲密码以加密形式保存,但允许以 root 身份登录而无需输入任何密码
该漏洞仅针对 Alpine Linux 的 Docker 镜像版本,且安装了 shadow 或 linux-pam 软件包才会受影响。
对于使用较旧的、不受支持的版本,可以将以下命令添加到 Dockerfile 来修复漏洞:
# make sure root login is disabled RUN sed -i -e 's/^root::/root:!:/' /etc/shadow
或者卸载 shadow 或 linux-pam 软件包。
Alpine Linux Docker 镜像是一个十分小巧的镜像,大小仅 5MB,远小于其他 Linux 发行版,在 Docker Hub 的下载次数已超过千万。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- [浏览器安全漏洞一] dll劫持漏洞
- 【FreeBuf字幕组】Web安全漏洞系列:Electron框架漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- 甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞
- [浏览器安全漏洞二] hao123桔子浏览器 – 页面欺骗漏洞
- 现如今连安全漏洞命名都用表情符了:思科路由器安全启动漏洞????????????(生气猫)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
微信公众号深度解析
魏艳 / 化学工业出版社 / 2017-5 / 49.80元
本书是一本微信公众号营销的教科书,全方位揭秘了微信订阅号、微信服务号、微信企业号三大类型账号的运营管理策略和技巧,有助于企业构建一套全新的微信公众号营销体系,打造一个移动端的商业帝国,是企业和微商必读的微信公众号营销和运营宝典。 《微信公众号深度解析:订阅号+服务号+企业号三号运营全攻略》突出了“新”、“全”、“实战”三大特点,阐述了微信公众号在新形势下的现状、发展趋势和三大类型;微信公众号......一起来看看 《微信公众号深度解析》 这本书的介绍吧!
